Gå til innholdet
MKController

MKController-konfigurasjon på enheten din

Sammendrag

Når du adopterer en enhet i MKController må du kopiere et skript til din Mikrotik. Målet med dette materialet er å forklare hva skriptet gjør på din Mikrotik og hva som skjer om du fjerner enkelte regler.

UniFiControllerLogo.

Grunnleggende krav

RouterOS må være versjon 6.39 eller nyere.

1. Sertifikat

  • OVPN-sertifikatet som skal brukes til OVPN-tilkoblingen lagres i filsystemet

  • Sertifikatet importeres til Mikrotik. Kan aksesseres i menyen System -> Certificates

Kommando:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Opprettelse av profil

  • En profilregel som skal brukes i VPN opprettes

Kommando:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN-klienttunell

Sertifikatet fra steg 1 og profilen fra steg 2 brukes nå til å opprette en OVPN-tilkobling med serveren ovpn.mkcontroller.com

Kommando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Brannmur

Det opprettes en brannmurregel som sikrer at VPN-gatewayen (10.8.0.1) får tilgang til Mikrotik gjennom tunnelen opprettet i steg 3

Kommando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Overvåking

Et overvåkingsskript opprettes i Mikrotik for å sende data som CPU-bruk, diskbruk, minnebruk osv.

Kommando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Bruker på Mikrotik

En bruker med administratorrettigheter opprettes i Mikrotik. Denne administreres i kommunikasjonen mellom MKController og Mikrotik. Brukerens passord endres jevnlig for å forhindre brute force-angrep

Kommando:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritering

Regelen opprettet i steg 5 plasseres først i listen, for å sikre at MKController har tilgang til enheten selv om det finnes andre nektingsregler

Kommando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Portaktivering

  • Portene [webfig], ssh, api, [winbox] og [ftp] aktiveres
  • Hvis porten er lukket, aktiveres den med tillatelse for adressen 10.8.0.1, slik at kun OVPN har tilgang
  • Hvis porten allerede er åpen, legges adressen 10.8.0.1 til listen over tillatte adresser
  • Alle tjenester kan sjekkes under IP -> Services

Kommandoer:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Hva skjer hvis hver tjeneste er stengt.

  • [www-tjeneste] – Webfig-tilkoblingen vil ikke fungere via web eller mobilapp;

  • [winbox-tjeneste] – Winbox-tilkoblingen vil ikke fungere via web eller mobilapp;

  • [ssh-tjeneste] – Backup, opplasting og nedlasting av filer vil ikke fungere;

  • api-tjeneste – Systemets offentlige API, som walled garden, vil ikke fungere
    (Full dokumentasjon på https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp-tjeneste] – Filfunksjoner som FTP-integrasjon, filvisning og batchopplasting av filer vil ikke fungere

Access Here